先日の記事と同様のSPAMメールが、フィルタをすり抜けて受信箱に来たので、もう少し調査してみました。今回届いたSPAMメールはこんな感じ↓ (変な箇所を赤くしています)
件名:【ご注意】解約予告のお知らせ(ETC利用照会サービス) 差出人: ETC利用照会サービス (XXX@XXX.com) 平素よりETC利用照会サービスをご利用いただき、誠にありがとうございますこのメールは、ETC利用照会サービス(登録型)にご登録されていて、長い間にログインのない方にお送りしています。 お客様のユーザーIDは、解約予定日までにログイン及び個人情報の更新をいただけないと登録が解約となります。 ※ETC利用照会サーピス(登録型)は450日間ログインがない。ユーザーIDの登録が自動的に解約となります。 情報機器に通信機器、家電製品など幅広く製作していますが、とりわけテレビ市場では近年最も大きな成長を遂げているメーカーのひとつです。 ユーザーID ※壷井のメールアドレス※ 解約予定日 2023年4月29日 メールのように写真を添付して送る事もできる。 解約予定日までに下記のURLから本サービスにログイン及び個人情報の更新をいただきますと、ご登録は継続されます。 ⇒ ※URL1※ なお、登録が自動に解約となりました場合も、再度登録いただければご利用いただけます。 ⑤月額メニューの登録・解除を繰り返した場合は都度、その回数分料金がかかります。 ※このメールは送信専用です。 このアドレスに送信いただいても返信いたしかねますので、あらかじめご了承願います。 ※本メールに心当たりがない場合は、速やかに削除お願いいたします。 液晶テレビの場合、メーカーや商品によって発色やコントラスト・画面の明るさなどが大きく異なります。
今回のメールも、強制テキスト表示の壷井のメールソフトでは赤文字部分が表示されますが、Gmail や Outlook など HTML メールを表示するソフトだと、赤文字部分が表示されません。なので、本物と見分けがつかない恐れがあります。今回も URL1 には、全く別の Web サイトがリンクされていました。
2回連続で変なのが来たので、この赤文字部分はミスじゃなくて故意だろうと断定して、もう少し掘り下げてみます。以下、素人の解析と推測です。
メールのソースを見ると、やはり全体が base64 でエンコードされていて、人間には判読不可能です。これを base64 デコードして当該赤文字部分を見てみましょう。
<br>※ETC利用照会サーピス(登録型)は450日間ログインがない。ユーザーIDの登録が自動的に解約となります。</p> <div style="opacity: 0"> <p style="FONT-SIZE: 1px; COLOR: #ffffff; -webkit-touch-callout: none; -webkit-user-select: none; -khtml-user-select: none; -moz-user-select: none; -ms-user-select: none; user-select: none">情報機器に通信機器、家電製品など幅広く製作していますが、とりわけテレビ市場では近年最も大きな成長を遂げているメーカーのひとつです。</p></div> <p> ユーザーID<br>
問題部分を青文字にしています。ご覧の通り、赤文字部分を「フォントサイズ 1px で、色を真っ白」で表示させています。つまり文字をめっちゃ小さくして、背景の白と同色にしているわけです。HTMLメールをそのまま解釈してしまうメールソフトだと、赤文字部分が見えなくなるのはこういうわけです。
おそらくこれはSPAMフィルタを騙して、回避するための仕掛けと思います。(現に壷井が利用しているプロバイダのSPAMフィルタは騙されてしまった)
SPAMフィルタのSPAMメール判定方法は、色々なやり方があります。多くは、過去のSPAMメールの特徴と比較して加点方式で怪しさを評価して、ある一定以上の閾値を超えるとSPAM判定する、というやり方です。
この記事にある様な「正規のWebサービスから来るメールを模倣したフィッシングメール」は、SPAMフィルタに判別されやすいので、赤文字部分の様にまったく関係のない文言を適度に混ぜることによって、SPAMフィルタの判定ルーチンを迂回させようとしているのだ、と思います。そんでもって、赤文字部分は人間には見えませんと・・・。
まぁ、このメールもディープラーニングされまくった Gmail や Outlook の SPAM フィルタには、きっちり捕獲されてましたので、世の中的には大きな問題にならないでしょう。
とりわけ新しい攻撃手法ではありませんが、自分のところに来たので取り上げてみました~。
おしまい。
